%20(1)%20(1).webp "Konfety Hacker'ları Kötü Amaçlı Reklamları Yayınlamak İçin Google Play Store'da 250 Uygulama Barındırdı")
Araştırmacılar, resmi pazar yerlerindeki “sahte ikiz” uygulamaları ve bunların kötü niyetli “şeytani ikiz” muadillerini kullanan Konfety adlı yeni bir reklam dolandırıcılık şeması keşfetti.
Sahte ikizler, Google Play Store gibi platformlarda bulunan görünüşte zararsız uygulamalardır; kötü amaçlı reklamlar aracılığıyla dağıtılan kötü ikizler ise reklam dolandırıcılığı yapar, uzantılar yükler, web aramalarını izler ve kod enjekte eder.
Kötü ikizler, sahte kimlikleri taklit ederek reklam talep edip görüntüleyerek sahte ikizleri taklit eder ve sahte trafiği meşru gibi gizler.
Kötü ikizlerine karşılık gelen 250’den fazla sahte uygulama tespit edildi ve günlük 10 milyara kadar sahte reklam isteği oluşturuldu.
Konfety Evil Twin uygulamaları, APK “modlarını” ve diğer Play Store dışı uygulamaları tanıtan bir kötü amaçlı reklam kampanyası yoluyla yayılıyor.
Kampanya, kullanıcıları tek bir IP adresinde barındırılan DGA alan adlarını kullanarak düşük kaliteli uygulamalar veya kötü amaçlı APK dosyaları indirmeye yönlendiriyor.
Saldırganlar ayrıca kötü amaçlı bağlantıları yaymak için UGC platformlarını ve URL kısaltma hizmetlerini de kötüye kullanıyor.
Protect Your Business Emails From Spoofing, Phishing & BEC with AI-Powered Security | Free Demo
URL kısaltıcı içeren kötü amaçlı PDF’ler meşru web sitelerinde bulunmaktadır.
Kötü amaçlı reklamlar, zararlı PDF’ler ve diğer yöntemlerin birleşimi, saldırganların zararlı yazılımlarını mümkün olduğunca geniş bir alana yayma çabalarını ortaya koyuyor.
Üç aşamalı kötü ikiz uygulamaları kullanan bir dolandırıcılık planı.
Taklit paket adına sahip dropper APK, varlıklardan gizlenmiş sahneleyiciyi yükleyen ve ardından kötü amaçlı kodlar içeren ikinci aşamayı şifresini çözen, yükleyen ve çalıştıran basit bir uygulamadır.
İlk aşama, C2 iletişimini kurar, uygulama simgesini gizler ve ikinci aşama yükünü şifrelerken kalıcılığı yapılandırır; bu da kullanıcıların uygulamayı tanımlamasını ve kaldırmasını zorlaştırır.
Kötü amaçlı yazılımın ikinci aşaması olan şifresi çözülmüş bir DEX yükü, belirli bir sınıfı yükler ve muhtemelen arka kapılı reklam SDK’larını kullanan ve kullanıcı varlığına bağlı olarak reklam oluşturucu gibi gizlenmiş bir hizmeti tetikleyen sahtekarlık faaliyetleri gerçekleştirir.
Kötü amaçlı yazılım, CaramelAds platformunda kendini tanımlamak için yaklaşık 2 MB büyüklüğünde benzersiz bir kimlik (ZWMWD formatı) kullanır ve her örnek için özel karartma uygulayarak farklı sürümlerde tutarlı işlevlere rağmen tespiti zorlaştırır.
Kötü niyetli kişiler, reklam dolandırıcılığı yapmak için bir mobil reklamcılık SDK’sı olan CaramelAds’ı kullandılar ve bunu, kullanıcı uygulamayı aktif olarak kullanmadığında bile rahatsız edici tam ekran video reklamları gösteren meşru “sahte ikiz” uygulamalarını taklit eden “kötü ikiz” uygulamaları oluşturarak yaptılar.
Kötü ikizler, faaliyetlerini gizlemek için sahte ikizlerden geliyormuş gibi görünen reklam istekleri yaparken, saldırganlar indirilen uygulamanın içine benzersiz tanımlayıcılar yerleştirdiler ve bu sayede kötü amaçlı reklam kampanyalarının etkinliğini izleyebildiler.
Human’ın Satori Tehdit İstihbarat Ekibi’ne göre, CaramelAds sunucusunun URL’leri açma ve bildirimleri tetikleme yeteneği, kötü niyetli ikizler tarafından kullanıcıları potansiyel olarak kötü amaçlı web sitelerine veya içeriklere yönlendirmek için de kötüye kullanıldı.
Join our free webinar to learn about combating slow DDoS attacks, a major threat today.